Canada is van plan om de import, verkoop en het gebruik van de Flipper Zero en soortgelijke multitools te verbieden. Dat meldde Tweakers onlangs. In het land neemt autodiefstal enorme vormen aan, procentueel het tienvoudige van Nederland. Dan moet je iets doen, Flippers verbieden is iets dus laten we dat doen. Maar hoe haalbaar is dat?
De Flipper Zero is een “portable multi-tool for pentesters and geeks in a toy-like body,” aldus de fabrikant. Het ding heeft ongeveer alles dat je nodig hebt voor (old school) hacking, van een simpel schermpje en handige knoppen tot USB, Bluetooth en pogo pin aansluitingen. Het platform is open source en kan dus volledig worden aangepast, inclusief custom firmware.
Die custom firmware kwam een tijdje geleden in het nieuws: de custom firmware “Flipper Xtreme” maakte het wel heel makkelijk om een soort van denial of service aanval te doen op iPhones door een berg Bluetooth connectieverzoeken te sturen. Inclusief knopje dat “iOS attack” heet. Niet handig, juridisch gezien.
Door het gemak, de aansprekende vormgeving en het concreetmakende aspect springt er hacktechnisch nu even uit. Je kunt er bijvoorbeeld ook een laadpas voor elektrische auto’s mee simuleren en dan gratis laden (al duurt dat extreem lang en moet je dit 200 euro kostende ding met ducttape aan een laadpaal vastzetten). En ja, dat kan met meer dingen maar dit is een specifiek ding met een herkenbare merknaam dus dat is een mooi verhaal.
In Canada is het een stuk negatiever:
On Thursday, the Innovation, Science and Economic Development Canada agency said it will “pursue all avenues to ban devices used to steal vehicles by copying the wireless signals for remote keyless entry, such as the Flipper Zero, which would allow for the removal of those devices from the Canadian marketplace through collaboration with law enforcement agencies.” A social media post by François-Philippe Champagne, the minister of that agency, said that as part of the push “we are banning the importation, sale and use of consumer hacking devices, like flippers, used to commit these crimes.”Wederom: er zijn tientallen manieren om die draadloze signalen op te vangen en te kopiëren, maar dat zijn geen leuk vormgegeven doosjes met een eenvoudige UI en een aansprekende merknaam. Sorry Raspberry Pi, maar de Zero heeft de coolfactor.
In Canada is autodiefstal een enorm probleem, en kennelijk is een populaire truc daarbij het klonen van het signaal dat de draadloze autosleutel (fob) uitzendt om de deur open te doen. De Flipper Zero kan zeker signalen opvangen en opnieuw uitzenden, maar bij autosleutels heeft dat niet zo heel veel zin:
[The most prevalent] attack requires a high-power transceiver that’s not capable with the Flipper Zero. These attacks are carried out using pricy off-the-shelf equipment and modifying it using a fair amount of expertise in radio frequency communications. (…) The Flipper Zero is also incapable of defeating keyless systems that rely on rolling codes, a protection that’s been in place since the 1990s that essentially transmits a different electronic key signal each time a key is pressed to lock or unlock a door.Mogelijk dat bij de Canadese overheid wat verwarring is ontstaan over een hype-tje uit 2022, toen bleek dat je het signaal om de laadpoort van een Tesla te openen eenvoudig kon klonen, waardoor je met een Flipper Zero mensen kon trollen. Als je dat deurtje kunt openen, dan kun je vast ook de motor starten, zeg maar.
Hoe dan ook, de regering wil nu dus deze apparaten gaan verbieden. Maar hoe zou dat gaan, en dan heb ik het niet over de handhaafbaarheid maar over “hoe schrijf je dat eenduidig op”.
In Nederland geldt een verbod op het maken, hebben of verspreiden van hacktools. Daarbij geldt wel een specifieke eis: zo’n tool moet “hoofdzakelijk geschikt gemaakt of ontworpen [zijn] tot het plegen van een [computer]misdrijf”, zoals computervredebreuk of het aftappen van signalen (art. 139d Sr). Het is dus niet genoeg dat je er zo’n misdrijf mee kunt plegen, het ding moet er voor bestemd zijn.
In discussies over booter-sites benadruk ik altijd dat het dan al snel neerkomt op intentie van de maker. Heb je zo’n zwarte achtergrond met groene letters, l33tspeek en alleen betalen via bitcoin, dan komt dat heel anders over dan een gezellig witte achtergrond met rommelige knutselspullen en een schattig dolfijntje. Mij spreekt dan ook aan dat men de compliance-documentatie online zet in plaats van een disclaimer over illegale zaken.
Canada heeft dat niet direct, maar maakt het strafbaar (art. 342 Penal Code) om “causes to be used, directly or indirectly, a computer system with intent to commit an offence” zoals computervredebreuk of aftappen van signalen. Wie een kastje verkoopt en daarbij aanmoedigt dat je er een auto mee steelt, loopt dus tegen de strafwet aan. Een verkoper die neutraal spreekt van een pentest tool waarmee je je eigen auto kunt openen, is niet strafbaar.
Je kunt natuurlijk in zo’n strafbepaling woorden als “with intent” vervangen door “with ability”. Dan is iedere Flipper Zero inderdaad direct strafbaar, want ze hebben dan bepaalde hack-capability (andermans laadpoort openen is juridisch gezien ongeautoriseerd). Alleen krijg je dan zo’n breed verbod dat je dan tegen de meer algemene eis aanloopt dat strafbepalingen afgekaderd moeten zijn. Termen als “zou kunnen” of “mogelijk” zijn dus niet echt de bedoeling.
Mijn gevoel bij het nieuwsbericht is dat het vooral ging om reageren op de hype, laten zien dat je iets van plan bent. Voordat hier een wetsvoorstel voor is gedaan, zijn we rustig een jaar verder en heeft een ander product weer de hype.
Arnoud
Bij mij blijft ook de vraag wat men daadwerkelijk wil bereiken.
De Flipper hardware is weinig bijzonders; iedereen kan dat met off the shelf componenten in elkaar knutselen.
Het heeft een leuke behuizing, maar iedereen met een 3d printer kan met een stl file een behuizing printen.
De grootste waarde van het apparaat zit in de software, die je makkelijk in een land met intelligente politici kan hosten … alhoewel bestaat zo’n land nog wel?
Wat Denkt Canada op te lossen als de software te downloaden is en het apparaat met een soldeerbout en 3d printer zelf gemaakt kan worden. Van onderdelen die zo algemeen zijn dat het verbieden van de verkoop van de onderdelen een schot in eigen voet is!
Ja maar dan is het zelf gemaakte apparaat illegaal! … Alsof iemand die het gaat gebruiken om in te breken – als dat al zou kunnen – zich daar door laat tegenhouden.
Voor mij is wel de vraag hoe makkelijk het is om zelf van losse componentjes zo’n ding te maken. Als dat toch enige hobbels kent, dan is reguleren van het product geen gekke om de instroom in te dammen. Zwavel, houtskool en salpeter zijn op zich ook prima te vinden, toch reguleren we de verkoop van buskruit.
Uit ervaring kan ik vertellen dat het in elkaar solderen van een schakeling met enige oefening te doen is. Het zelf maken van een printplaat is lastiger en vereist dat je met (etsende) chemicaliën werkt.
Mijn inschatting is dat voor het solderen een middagje instructie genoeg is; voordat je redelijk reproduceerbaar printplaatjes maakt ben je wel een weekje (1 à 2 uur per dag) proberen verder.
Solderen is een vak wat je toch echt onder de knie moet krijgen, kost voor velen wel meer dan een middagje, zeker voor moderne elektronica, laat staan SMD’s, wat thuis nauwelijks te doen is.
Printplaatjes maken heb ik ook gedaan, dat ging supermakkelijk, met niet veel meer dan een lichtgevoelige printplaat, een dikke zwarte stift, een dagje met goed zonlicht, en een bakje van de chinees met etsmiddel (al heb je dan zeker niet de verfijning nodig voor chips).
Om even aan te geven hoe belachelijk het verbod is onderstaand een lijstje met off the shelf hardware (exclusief antennes en battery pack, ik had geen zin meer om daar de juiste voor te zoeken). Een Flipper is een single board computer met een redelijk zwakke CPU: https://www.variscite.com/product/system-on-module-som/cortex-a7/dart-6ul-freescale-imx-6ul/ Een RFID lezer: https://www.tinytronics.nl/nl/communicatie-en-signalen/draadloos/rfid/rdm6300-rfid-reader-125khz Een scherm en bedieningselementen: https://elektronicavoorjou.nl/product/adafruit-pygamer/ Een sub GHz tranceiver: https://nl.rs-online.com/web/p/rf-ics/9033068
En een paar antennes!
De SBC is dezelfde chip als in de Flipper, dus aanpassen van de software hoeft iemand maar 1 keer te doen en zal relatief eenvoudig zijn.
Printplaat kan je bestellen bij PCBWay, maar dat is helemaal niet nodig. Als je de links bezoekt zul je zien dat alles met kabels aan elkaar verbonden kan worden, geen custom PCB voor nodig en ook geen SMD solderen. Alleen basis soldeer skills en een goed ontwerp voor en case!
Een draadje aan een contact solderen heeft iedereen in een kwartier onder de knie!
Is dit eigenlijk niet hetzelfde als het wel of niet verbieden van lockpick-setjes? Natuurlijk worden veel setjes gebruikt voor de sport, maar het enige doel van zo’n setje is het open maken van sloten waarvan je de sleutel niet hebt.
Uiteindelijk wel. Het doel zou zijn de intentie van de gebruiker te reguleren: het is verboden lockpicksetjes te hebben of verkopen als daarmee ingebroken gaat worden. Hoe je dat opschrijft en hoe je dat handhaaft, is dus knap ingewikkeld. Maar als er een lockpickset opduikt die door iedereen triviaal te gebruiken is en álle sloten aankan zonder zelfs maar 5 minuten oefenen, dan snap ik dat de politiek zegt: hier willen wij toch een verbod.
Ik heb een lockpick set geerft, dat setje is meer dan 50 jaar oud en je kan er alle betaalbare fiets en hangsloten met sleutels op de markt mee openmaken binnen een minuut.
De fabrikanten gebruiken nog steeds antieke technieken, waardoor dat nog werkt. Je kan specifieke tools voor bepaalde types sloten kopen die het in 3 seconden openen, maar wees ajb niet in de waan dat een setje waarmee iedereen met wat oefening een slot snel kan openen iets nieuws is!
Ik denk dat je met een verbod niet veel opschiet, want boeven hebben toch al niet veel met het zich aan de wet houden, en zullen gewoon die kastjes blijven gebruiken, desnoods in een mindere “hackerige” uitvoering. Je zult gewoon betere protocollen moeten gebruiken om auto’s en sleutels met elkaar te laten praten.
Het is nu al zo dat als je je fiets niet op slot zet, je een boete van € 40 kunt krijgen (wegens uitlokken diefstal), als dat in de plaatselijke APV staat (wat ik eigenlijk van de zotte vind, want dat zou gewoon moeten kunnen). Het lijkt me dat je dan ook auto’s met dergelijke triviaal te openen sloten afgesloten een boete moet geven (anders is er sprake van rechtsongelijkheid).
Veel nerds reageren op dit soort berichten met berichten als: “Dom, kan ik zelf ook in elkaar solderen, je kan dit niet verbieden, willen ze electronica ook verbieden?” en meer van dat soort werk. Dit soort redeneringen gaan eraan voorbij dat het doel van dit soort maatregelen is om mensen op te pakken die met op zich nog niet-strafbare voorbereidingsbehandelingen bezig zijn. Je kunt het aantal autodiefstallen verminderen als je iedereen die met een Flipper Zero o.i.d. op de parkeerplaats van de Walmart alleen daarom al kan oppakken.
Dat is trouwens niet ongebruikelijk. Sla bijvoorbeeld artikel 2.44 van de meeste APVs er eens op na (b.v. die van Dordrecht):
Artikel 2:44 Vervoer inbrekerswerktuigen 1. Het is verboden op een openbare plaats enig voorwerp of middel te vervoeren of voorhanden te hebben, dat ertoe kan dienen zich onrechtmatig de toegang tot een gebouw, winkel of erf te verschaffen, op onrechtmatige wijze sluitingen te openen of te verbreken, diefstal door middel van braak te vergemakkelijken of het maken van sporen te voorkomen.
2. Het is verboden op een openbare plaats een voorwerp, dat er kennelijk toe is uitgerust om het plegen van (winkel)diefstal te vergemakkelijken, te vervoeren of voorhanden te hebben.
3. Het in het eerste en tweede lid bepaalde is niet van toepassing indien redelijkerwijs kan worden aangenomen dat de in het betreffende lid bedoelde voorwerpen niet zijn gebruikt of niet zijn bestemd voor de daar bedoelde handelingen.
Loop je met een schroevendraaier, hamer, zaagje over straat, ben je alleen daarom al strafbaar als je verder geen verklaring hiervoor kunt aanvoeren.
Ik heb hier boven een lijstje gepost met wat standaard hardware om een flipper kloon te kunnen maken. De bediening is een adafruit pygamer.
Het is eenvoudig om een paar simpele games op het apparaat te installeren en je hebt een handheld ‘console’ een volkomen legaal apparaat. Flash er Flipper software op en je hebt een Flipper kloon.
Ga jij iederen bij Walmart met een handheld console lekker oppakken dan!
Mensen die zelf een Flipper Zero in elkaar kunnen solderen en daar ook nog wat spelletjes op kunnen installeren zijn niet de doelgroep van dit soort maatregelen. Het feit dat jij dat kan doet niet ter zake, want zelfs als jij met een Flipper Zero rondloopt in Canada heb je weinig te vrezen. De bedoeling van dit soort wetgeving is om de politie een handvat te geven om, als ze sowieso al een verdacht type rond zien lopen, die op te kunnen pakken.
Het probleem is dat het zo eenvoudig te maken is, dat er maar 1 persoon een handleiding online hoeft te zetten en iedereen, mits geen twee linker handen, kan zo’n apparaat in elkaar zetten.
Die apparaten draaien gewoon linux, dus iedereen kan met het volgen van een simpel stappenplan een gameboy emulator – om maar iets te noemen – installeren. Of andersom, standaard een gameboy emulator en dan zet je de flipper software erbij.
Dan nog een slimmerik die deze apparaten gaat verkopen met alleen game software erop als spelletjes computer, ik lees hier altijd dat hoe je het adverteerd uitmaakt, en iedere crimineel met internettoegang heeft als hij wil een vermomde flipper.
Ik weet niet hoe jij denkt dat de politie iemand gaat kunnen oppakken als die met een gameboy emulator rond loopt die ze anders niet op kunnen pakken. Of suggereer jij nu dat omdat je die apparaten met andere software en intern onzichtbaar wat extra hardware kan gebruiken als Flipper Zero alle gameboy emulatoren een extra reden zijn van verdenking?
Dan kunnen ze beter de Flipper zero niet verbieden. “Hij gedroeg zich verdacht en liep met een herkenbaar apparaat waarmee je ‘kan hacken’ rond” lijkt mij sterker, dan “Hij gedroeg zich verdacht en liep met een gameboy emulator rond”.
Het is een typisch voorbeeld van de politiek die in hun dadendrang zichzelf in de voet schieten.
In de praktijk zal de politie niet al te hard lopen voor een losse Flipper Zero. Met een verbod heeft de politie wel een extra argument om iemand op te pakken die zonder de echte sleutel auto’s openmaakt, namelijk het bezit en gebruik van een illegaal apparaat als valse sleutel voor het voertuig.
De gemiddelde kruimeldief heeft niet het geduld (of neemt de tijd niet) om zijn eigen Flipper in elkaar te zetten; criminelen die wel de tijd nemen om zich voor te bereiden hebben vaak grotere doelen dan een dashboardkastje.
De maatregel lijkt wat buitenproportioneel; de flipper zero kan weinig met moderne(re) systemen. Hebben Canadezen dan zulke oude auto’s?
Ars Technica